JPWO2016121348A1 - マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム - Google Patents

マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム Download PDF

Info

Publication number
JPWO2016121348A1
JPWO2016121348A1 JP2016571850A JP2016571850A JPWO2016121348A1 JP WO2016121348 A1 JPWO2016121348 A1 JP WO2016121348A1 JP 2016571850 A JP2016571850 A JP 2016571850A JP 2016571850 A JP2016571850 A JP 2016571850A JP WO2016121348 A1 JPWO2016121348 A1 JP WO2016121348A1
Authority
JP
Japan
Prior art keywords
software
malware
information processing
information
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016571850A
Other languages
English (en)
Other versions
JP6717206B2 (ja
Inventor
将 川北
将 川北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2016121348A1 publication Critical patent/JPWO2016121348A1/ja
Application granted granted Critical
Publication of JP6717206B2 publication Critical patent/JP6717206B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Abstract

本願発明は、マルウェアを高い精度で検出する。マルウェア対策装置50は、ソフトウェア600を実行する情報処理装置60の属性を示す値と、ソフトウェア600の属性を示す値と、情報処理装置60及びソフトウェア600の属性に依存する、ソフトウェア600が情報処理装置60によって実行されたときの危険度を示す値と、が関連付けされた危険情報510が記憶された危険情報記憶部51と、外部から情報処理装置60の属性を示す値を収集する主体属性収集部53と、外部からソフトウェア600の属性を示す値を収集する客体属性収集部54と、主体属性収集部53及び客体属性収集部54が収集した値を、危険情報510と照合することによって得られた危険度を示す値が基準を満たす場合、ソフトウェア600がマルウェアであると判定する判定部55と、を備える。

Description

本願発明は、マルウェアを検出して、そのマルウェアに対する対策を行うマルウェア対策装置等に関する。
昨今、コンピュータに不正な指令を与える、悪意のあるソフトウェア(以降、マルウェアと称する)に起因するセキュリティに対する脅威が社会問題となっている。したがって、そのようなセキュリティにおける脅威を排除するために、コンピュータに入り込んだマルウェアを高い精度で検出する技術に対する期待が高まってきている。
このような技術に関連する技術の一例として、特許文献1には、ファイアウォールからマルウェア候補サンプルを受信して、当該サンプルがマルウェアであると判定した場合に、シグネチャーコードを自動的に生成するマルウェア解析システムが開示されている。このシステムは、様々なヒューリスティックに基づく手法を用いて、マルウェア候補サンプルがマルウェアであるか否かを判定する。
特表2014-519113号公報
一般的なマルウェアの検出方式では、ソフトウェアを構成するバイナリコードの特徴や振る舞い(例えば、通信手順及び通信先ドメインの特徴等)に基づいて、当該ソフトウェアがマルウェアであると判定する。すなわち、一般的なマルウェアの検出方式は、ソフトウェアの動作を客観的に観測した事象のみに基づいて、マルウェアを検出している。例えば、特許文献1に記載されたマルウェア解析システムは、下記の事象のうちの少なくともいずれかを観測した場合に、当該ソフトウェアがマルウェアであると判定する。
・HTTP(Hyper Text Transfer Protocol)トラフィック用の非標準的なHTTPポートに接続すること、
・架空ドメインにアクセスすること、
・非標準的な実行ファイル拡張子を有する実行ファイルをダウンロードすること、
・eメールサーバ用のDNS(Domain Name System)クエリを実行すること、
・一般的な長さよりも短い長さのHTTPヘッダを用いて通信を行うこと、
・HTTPトラフィックにおいて、ポスト法により通信を行うこと、
・IRC(Internet Relay Chat)トラフィック用の非標準的なIRCポートに接続すること、
・侵入防止システム回避手法を用いて通信を行うこと、
・HTTPポートを介して分類されていないトラフィックの通信を行うこと、
・通常のドメイン名の長さよりも長いドメイン名を持つドメインにアクセスすること、
・ダイナミックDNSドメインにアクセスすること、
・ファストフラックスドメインにアクセスすること(DNSラウンドロビンの利用)、
・最近作成されたドメインにアクセスすること。
しかしながら、このような事象は、必ずしも悪意によって発生しているわけではなく、ソフトウェアを配布した提供者、あるいは、ソフトウェアを実行する利用者の、悪意のない正当な目的によって、発生している場合もある。すなわち、ソフトウェアがマルウェアであるか否かは、より正確には、ソフトウェアの動作について客観的に観測される事象だけではなく、そのソフトウェアを実行する主体の属性、及び、そのソフトウェアの属性に依存する様々な要因によって決定する。特許文献1に記載されたマルウェア解析システムは、このような様々な要因をふまえた総合的な見地(観点)に基づく情報から、ソフトウェアがマルウェアであるか否かを判定する訳ではない。従って、係るマルウェア解析システムは、この判定を高い精度で行うことができない問題がある。本願発明の主たる目的は、この課題を解決したマルウェア対策装置等を提供することである。
本願発明の一態様に係るマルウェア対策装置は、ソフトウェアを実行する第一の情報処理装置の属性を示す値と、前記ソフトウェアの属性を示す値と、前記第一の情報処理装置及び前記ソフトウェアの属性に依存する、前記ソフトウェアが前記第一の情報処理装置によって実行されたときの危険度を示す値と、が関連付けされた危険情報が記憶された記憶手段と、外部から前記第一の情報処理装置の属性を示す値を収集する主体属性収集手段と、外部から前記ソフトウェアの属性を示す値を収集する客体属性収集手段と、前記主体属性収集手段及び前記客体属性収集手段が収集した値を、前記危険情報と照合することによって得られた前記危険度を示す値が基準を満たす場合、前記ソフトウェアがマルウェアであると判定する判定手段と、を備える。
上記目的を達成する他の見地において、本願発明の一態様に係るマルウェア対策方法は、記憶手段が、ソフトウェアを実行する第一の情報処理装置の属性を示す値と、前記ソフトウェアの属性を示す値と、前記第一の情報処理装置及び前記ソフトウェアの属性に依存する、前記ソフトウェアが前記第一の情報処理装置によって実行されたときの危険度を示す値と、が関連付けされた危険情報を記憶する場合に、第三の情報処理装置によって、外部から前記第一の情報処理装置の属性を示す値を収集し、外部から前記ソフトウェアの属性を示す値を収集し、収集した、前記第一の情報処理装置の属性及び前記ソフトウェアの属性を示す値を、前記危険情報と照合することによって得られた前記危険度を示す値が基準を満たす場合、前記ソフトウェアがマルウェアであると判定する。
また、上記目的を達成する更なる見地において、本願発明の一態様に係るマルウェア対策プログラムは、ソフトウェアを実行する第一の情報処理装置の属性を示す値と、前記ソフトウェアの属性を示す値と、前記第一の情報処理装置及び前記ソフトウェアの属性に依存する、前記ソフトウェアが前記第一の情報処理装置によって実行されたときの危険度を示す値と、が関連付けされた危険情報を記憶している記憶手段にアクセス可能なコンピュータに、外部から前記第一の情報処理装置の属性を示す値を収集する主体属性収集処理と、外部から前記ソフトウェアの属性を示す値を収集する客体属性収集処理と、前記主体属性収集処理及び前記客体属性収集処理によって収集された値を、前記危険情報と照合することによって得られた前記危険度を示す値が基準を満たす場合、前記ソフトウェアがマルウェアであると判定する判定処理と、を実行させる。
更に、本発明は、係るマルウェア対策プログラム(コンピュータプログラム)が格納された、コンピュータ読み取り可能な、不揮発性の記録媒体によっても実現可能である。
本願発明は、マルウェアを高い精度で検出することを可能とする。
本願発明の第1の実施形態に係るマルウェア対策システム1の構成を示すブロック図である。 本願発明の第1の実施形態に係る主体属性データベース110の構成を例示する図である。 本願発明の第1の実施形態に係る客体属性データベース111の構成を例示する図である。 本願発明の第1の実施形態に係る主観データベース112の構成を例示する図である。 本願発明の第1の実施形態に係る客観データベース113−1の構成を例示する図である。 本願発明の第1の実施形態に係る客観データベース113−2の構成を例示する図である。 本願発明の第1の実施形態に係る情況データベース114の構成を例示する図である。 本願発明の第1の実施形態に係るマルウェア対策システム1の動作を示すフローチャートである。 本願発明の第2の実施形態に係るマルウェア対策装置50の構成を示すブロック図である。 本願発明の各実施形態に係るマルウェア対策装置を実行可能な情報処理装置900の構成を例示するブロック図である。
以下、本願発明の実施の形態について図面を参照して詳細に説明する。
<第1の実施形態>
図1は、本発明の第1の実施の形態のマルウェア対策システム1を概念的に示すブロック図である。本実施形態に係るマルウェア対策システム1は、大別して、マルウェア対策装置10、端末装置20、ライブサンドボックスサーバ装置30、及び、通信ネットワーク40を備えている。マルウェア対策装置10、端末装置20、及び、ライブサンドボックスサーバ装置30は、通信ネットワーク40を介して、互いに通信可能に接続されている。尚、本願の図1等のブロック図における矢印の向きは一例であって、ブロック間の信号の向きを限定しない。
端末装置20は、プロセッサ及び記憶装置(不図示)を備える情報処理装置であり、通信ネットワーク40を介して外部から入手したソフトウェア200を実行可能である。端末装置20は、マルウェア対策装置10が、ソフトウェア200がマルウェアでないと判定した場合に、マルウェア対策装置10からの指示に従い、ソフトウェア200を実行する。端末装置20は、ソフトウェア200の実行結果を、コンソール表示部21に表示する。端末装置20は、マルウェア対策装置10が、ソフトウェア200がマルウェアであると判定した場合は、ソフトウェア200を実行しない。この場合、ソフトウェア200は、マルウェア対策装置10によって、ソフトウェア200からライブサンドボックスサーバ装置30に移動される。
ライブサンドボックスサーバ装置30は情報処理装置であり、仮想マシン31を実行している。ライブサンドボックスサーバ装置30は、複数の仮想マシンを実行してもよい。仮想マシン31は、端末装置20から移動したソフトウェア200を、被疑マルウェア310として内部に格納し、マルウェア対策装置10からの指示に従って、被疑マルウェア310の処理を実行する。仮想マシン31は、被疑マルウェア310の実行結果を、端末装置20におけるコンソール表示部21に出力する。仮想マシン31は、被疑マルウェア310を実行中に、端末装置20を介して、ユーザによる入力操作を受け付けることができる。
マルウェア対策装置10は、端末装置200が入手したソフトウェア200がマルウェアであるか否かを判定し、ソフトウェア200がマルウェアであると判定した場合に、マルウェアに対する対策処理を行う装置である。マルウェア対策装置10は、危険情報記憶部11、危険情報収集部12、主体属性収集部13、客体属性収集部14、判定部15、移動部16、及び、内部状態収集部17を備えている。危険情報記憶部11は、電子メモリあるいは磁気ディスク等の記憶デバイスである。危険情報収集部12、主体属性収集部13、客体属性収集部14、判定部15、移動部16、及び、内部状態収集部17は、電子回路の場合もあれば、コンピュータプログラムとそのコンピュータプログラムに従って動作するプロセッサによって実現される場合もある。
危険情報記憶部11は、主体属性データベース110、客体属性データベース111、主観データベース112、客観データベース113、情況データベース114、及び、証跡情報115を記憶している。
主体属性データベース110は、ソフトウェア200を実行する端末装置20の属性を判定する際の基準となる情報である。図2は、主体属性データベース110の構成例を示す図である。図2に示す通り、主体属性データベース110は、「主体装置IP(Internet Protocol)アドレス」、「所属組織」、及び、「設置国」を表す各情報(データ)が関連付けされたテーブルである。「主体装置IPアドレス」は、マルウェアであるか否かを判定する対象であるソフトウェア(以降、客体ソフトウェアと称する)を実行する装置(以降、主体装置と称する)に付与されたIPアドレスを示す。「所属組織」は、主体装置を所有する組織を識別可能な識別子である。「設置国」は、主体装置が設置された国を識別可能な識別子であり、例えば、国の名称あるいは国コード等である。
図2に例示する主体属性データベース110は、例えば、「主体装置IPアドレス」として「IPアドレス1000」を付与された装置は、「組織A」によって所有され、「X国」に設置されていることを示している。尚、図2に示す主体属性データベース110の構成例は一例であり、主体属性データベース110の構成は、図2に示す構成例とは異なる構成であってもよい。
図1に示す客体属性データベース111は、ソフトウェア200の属性を判定する際の基準となる情報である。図3は、主体属性データベース111の構成例を示す図である。図3に示す通り、客体属性データベース111は、「ハッシュ値」、「開発元の国」、及び、「開発元の言語圏」を表す各情報(データ)が関連付けされたテーブルである。「ハッシュ値」は、客体ソフトウェアのバイナリコードを所定のハッシュ関数に入力することによって算出した値を示す。客体属性データベース111は、「ハッシュ値」の代わりに、客体ソフトウェアを配布した配布元装置に付与されたIPアドレスを含んでもよい。
「開発元の国」は、客体ソフトウェアが開発された国を識別可能な識別子である。「開発元の言語圏」は、客体ソフトウェアが開発された言語圏を識別可能な識別子である。マルウェア対策装置10は、客体ソフトウェアに関して、「開発元の国」及び「開発元の言語圏」を、バイナリコードが含む文字情報あるいはデジタル署名情報等の内容により値が決定される「ハッシュ値」を基に取得することができる。図3に例示する客体属性データベース111は、例えば、「ハッシュ値」が「0004」である客体ソフトウェアは、「Z国」における「z2語」が使用される言語圏において開発されたことを示している。尚、図3に示す客体属性データベース111の構成例は一例であり、客体属性データベース111の構成は、図3に示す構成例とは異なる構成であってもよい。
図1に示す主観データベース112は、主体装置が客体ソフトウェアを実行した場合における、主体装置の属性に依存する危険度を判定する際の基準となる情報である。図4は、主観データベース112の構成例を示す図である。図4に示す通り、主観データベース112は、「所属組織」、「設置国」、「セキュリティポリシー」、及び、「ポリシー違反危険指数」を表す各情報(データ)が関連付けされたテーブルである。「所属組織」は、主体装置を所有する組織を識別可能な識別子である。「設置国」は、主体装置が設置された国を識別可能な識別子である。「セキュリティポリシー」は、主体装置に適用されるセキュリティポリシーの内容を示す。図4に示す例では、「セキュリティポリシー」として、便宜上、例えば「セキュリティポリシーAX」と記載しているが、「セキュリティポリシーAX」は、そのポリシーの内容を示すこととする。
「ポリシー違反危険指数」は、主体装置が客体ソフトウェアを実行した際に、セキュリティポリシーに違反する事象が発生した場合の危険度を示す数値である。「ポリシー違反危険指数」は、その値が大きいほど、危険度が高いことを示している。図4に例示する主観データベース112は、例えば、「X国」に設置され「組織A」が所有する主体装置には、「セキュリティポリシーAX」が適用され、「セキュリティポリシーAX」に違反する事象が発生した場合の危険指数が「70」であることを示している。図4に例示する主観データベース112は、同様に、「Z国」に設置され「組織C」が所有する主体装置には、「セキュリティポリシーCZ」が適用され、「セキュリティポリシーCZ」に違反する事象が発生した場合の危険指数が「20」であることを示している。
主体装置に適用されるセキュリティポリシー、及び、当該セキュリティポリシーに違反した場合の危険度は、一般的に、主体装置の属性によって異なる。例えば、社会的に重要性が低い情報処理を行う主体装置には、緩やかなセキュリティポリシーが適用され、当該セキュリティポリシーに違反した場合の危険度は低くなる。これに対して、社会的に重要性が高い情報処理を行う主体装置には、厳しいセキュリティポリシーが適用され、当該セキュリティポリシーに違反した場合の危険度は高くなる。
図1に示す客観データベース113は、主体装置が客体ソフトウェアを実行した場合における、客体ソフトウェアの属性に依存する危険度を判定する際の基準となる情報である。客観データベース113は、マルウェアの疑いがある客体ソフトウェアを、そのソースコードあるいはバイナリコードに対する静的分析によって得られた情報、及び、客体ソフトウェアの動作に対する動的分析によって得られた情報と、危険度とを関連付けている。客体ソフトウェアに関する静的分析あるいは動的分析によって得られる情報としては、例えば、通信先のIPアドレス、通信頻度、システムコールの種類と発生頻度、及び、当該システムコールが使用する引数の種類等がある。
図5A及び5Bは、客観データベース113の2つの構成例を示す図である。図5Aに示す客観データベース113−1は、通信先のIPアドレスに関する客観データベースである。図5Aに示す通り、客観データベース113−1は、「通信先IPアドレス」、「通信頻度」、及び、「事象発生時の危険指数」を表す各情報(データ)が関連付けされたテーブルである。客観データベース113−1は、例えば、主体装置が客体ソフトウェアを実行中に、「IPアドレス2000」が付与された装置に対して、「1〜(から)5」(回/時間)通信を行った場合、「事象発生時の危険指数」が「10」であることを示している。図5Bに示す客観データベース113−2は、発生するシステムコールに関する客観データベースである。図5Bに示す通り、客観データベース113−2は、「システムコール種別」、「発生頻度」、及び、「事象発生時の危険指数」という項目が関連付けされたテーブルである。客観データベース113−2は、例えば、主体装置が客体ソフトウェアを実行中に、「システムコールA」が、「1〜2」(回/時間)発生した場合、「事象発生時の危険指数」が「20」であることを示している。
図1に示す情況データベース114は、主体装置が客体ソフトウェアを実行した場合における、主体装置及び客体ソフトウェアの属性に依存する危険度を判定する際の基準となる情報である。図6は、情況データベース114の構成例を示す図である。図6に示す通り、情況データベース114は、「開発元の国」、「開発元の言語圏」、「設置国」、及び、「不正動作危険指数」を表す各情報(データ)が関連付けされたテーブルである。「開発元の国」は、客体ソフトウェアが開発された国を識別可能な識別子である。「開発元の言語圏」は、客体ソフトウェアが開発された言語圏を識別可能な識別子である。「設置国」は、主体装置が設置された国を識別可能な識別子である。
「不正動作危険指数」は、主体装置が客体ソフトウェアを実行した際に、当該客体ソフトウェアがサイバー攻撃等の不正動作を行う可能性の高さを示す数値である。図6に示す情況データベース114は、例えば、「Z国」における「z1語」言語圏において開発された客体ソフトウェアを、「V国」に設置された主体装置が実行する場合、「不正動作危険指数」が30であることを示している。図6に示す情況データベース114は、同様に、「W国」における「w1語」言語圏において開発された客体ソフトウェアを主体装置が実行する場合、主体装置が設置された国にかかわらず、「不正動作危険指数」が80であることを示している。一般的に、反社会的な危険性の高い国において開発された客体ソフトウェアは、サイバー攻撃等の不正動作を行う可能性が高い。また、敵対関係にある国家間において、片方の国において開発された客体ソフトウェアを、もう片方の国に設置された主体装置が実行する場合、当該客体ソフトウェアが不正動作を行う可能性が高くなる。情況データベース114は、主体装置が客体ソフトウェアを実行した場合の危険度を、国際情勢等の情報に基づいて判定する際の基準となる情報である。
図1に示す証跡情報115は、被疑マルウェア310を内部に格納した仮想マシン31のスナップショットを含む情報である。スナップショットとは、ライブサンドボックスサーバ装置30が備えるメモリに格納された、仮想マシン31を表す情報(データ)である。
図1に示す危険情報収集部12は、危険情報記憶部11が記憶する各データベースに関係する情報を、通信ネットワーク40を介して外部装置から収集したのち、収集した情報を、危険情報記憶部11が記憶する各データベースに登録する。危険情報収集部12は、例えば、「主体装置IPアドレス」と「所属組織」との関連付けを示す情報を管理する企業内管理サーバ装置から当該情報を収集し、当該情報を主体属性データベース110に登録する。危険情報収集部12は、また、組織ごとのセキュリティポリシーを管理する企業内管理サーバ装置から、セキュリティポリシーに関する情報を収集し、当該情報を主観データベース112に登録する。主観データベース112における「ポリシー違反危険指数」については、危険情報収集部12が所定の算出基準に基づいて値を設定してもよいし、マルウェア対策システム1を管理するシステム管理者が値を設定してもよい。
危険情報収集部12は、また、ニュース、ソーシャルメディアにより提供される情報、及び、渡航安全情報等の情報を、所定のキーワードをキーとしてインターネットを介して収集し、情況データベース114に登録してもよい。この場合、「不正動作危険指数」については、危険情報収集部12が所定の算出基準に基づいて値を設定してもよいし、システム管理者が値を設定してもよい。尚、システム管理者が危険情報記憶部11に記憶される各データベースを登録する場合、マルウェア対策装置10は、危険情報収集部12を備えなくてもよい。
主体属性収集部13は、端末装置20がソフトウェア200を入手したときに、端末装置20から、その属性を示す情報としてIPアドレスを収集し、収集したIPアドレスを判定部15へ入力する。端末装置20の属性を管理する管理サーバ装置がマルウェア対策システム1の中に存在する場合、主体属性収集部13は、端末装置20の属性を示すIPアドレス等の情報を、当該管理サーバ装置から収集してもよい。
客体属性収集部14は、端末装置20がソフトウェア200を入手したときに、端末装置20が内部に格納したソフトウェア200のバイナリコードあるいはソースコードから、ソフトウェア200の属性を示す情報を収集する。客体属性収集部14は、例えば、ソフトウェア200のバイナリコードを所定のハッシュ関数に入力することによって、ハッシュ値を算出する。客体属性収集部14は、あるいは、ソフトウェア200を配布した配布元装置のIPアドレスを、端末装置20がソフトウェア200を入手したときのログ情報などから入手してもよい。客体属性収集部14は、ソフトウェア200の属性を示す情報を、判定部15へ入力する。
判定部15は、主体属性収集部13から入力された、端末装置20の属性を示すIPアドレスを、危険情報記憶部11に記憶された主体属性データベース110と照合する。例えば、主体属性収集部13から入力されたIPアドレスが、「IPアドレス1000」である場合、判定部15は、端末装置20が「組織A」によって所有され、「X国」に設置されている装置であると認定する。
判定部15は、客体属性収集部14から入力された、ソフトウェア200の属性を示すハッシュ値を、危険情報記憶部11に記憶された客体属性データベース111と照合する。例えば、客体属性収集部14から入力されたハッシュ値が「0005」である場合、判定部15は、ソフトウェア200が「W国」における言語圏が「w1語」である地域において開発されたソフトウェアであると認定する。
判定部15は、例えば、端末装置20が「組織A」によって所有され「X国」に設置されている装置であると認定した場合、主観データベース112を参照することによって、端末装置20には、「セキュリティポリシーAX」が適用され、「ポリシー違反危険指数」が「70」であると認定する。判定部15は、ソフトウェア200を分析した結果、端末装置20がソフトウェア200を実行した際に「セキュリティポリシーAX」に準拠しない事象が発生することが判明した場合、端末装置20がソフトウェア200を実行した場合の危険指数を「70」に設定する。
判定部15は、ソフトウェア200を分析した結果を、客観データベース113と照合する。判定部15は、端末装置20がソフトウェア200を実行した際に、客観データベース113に登録されている事象が発生することが判明した場合、当該事象に関する「事象発生時の危険指数」の値を、端末装置20がソフトウェア200を実行した場合の危険指数に加算する。
判定部15は、端末装置20及びソフトウェア200の属性を示す値を、情況データベース114と照合する。図6に示す通り、例えば、ソフトウェア200が「W国」における言語圏が「w1語」である地域において開発されたソフトウェアである場合、端末装置20が設置された国にかかわらず、「不正動作危険指数」は「80」である。この場合、判定部15は、端末装置20がソフトウェア200を実行した場合の危険指数に「80」を加算する。
判定部15は、端末装置20及びソフトウェア200の属性を示す値を、危険情報記憶部11に記憶された各データベースと照合することによって算出した、端末装置20がソフトウェア200を実行した場合の危険指数が、判定基準150を満たすか否かを判定する。判定基準150は、判定部15がソフトウェア200をマルウェアと判定する際の基準なる情報であり、例えば、主体装置が客体ソフトウェアを実行した場合の危険指数に関する閾値である。判定部15は、端末装置20がソフトウェア200を実行した場合の危険指数が判定基準150を満たす場合、ソフトウェア200をマルウェアと判定し、その判定結果を、移動部16、及び、内部状態収集部17に入力する。
移動部16は、判定部15がソフトウェア200をマルウェアと判定した場合、ソフトウェア200を、ライブサンドボックスサーバ装置30における仮想マシン31に移動し、被疑マルウェア310として、仮想マシン31に格納する。
内部状態収集部17は、仮想マシン31が被疑マルウェア310を格納したのち、被疑マルウェア310を実行する前の仮想マシン31のスナップショットを採取して、採取したスナップショットを証跡情報115として、危険情報記憶部11に格納する。
内部状態収集部17は、証跡情報115から、被疑マルウェア310を検体として抽出する。内部状態収集部17は、その検体に対する静的解析を行い、その解析結果を、客観データベース113として、危険情報記憶部11へ格納する。内部状態収集部17は、仮想マシン31が被疑マルウェア31の実行を開始した後、被疑マルウェア310の動作を表す情報を収集して、収集した情報を客観データベース113として、危険情報記憶部11へ格納する。被疑マルウェア310の動作を表す情報は、例えば、通信先である装置のIPアドレス、通信頻度、システムコールの引数、及び、システムコールの頻度の少なくともいずれかである。客観データベース113における「事象発生時の危険指数」については、内部状態収集部17が所定の算出基準に基づいて値を設定してもよいし、システム管理者が値を設定してもよい。
次に図7のフローチャートを参照して、本実施形態に係るマルウェア対策システム1の動作(処理)について詳細に説明する。
端末装置20は、通信ネットワーク40を介して、ソフトウェア200を入手する(ステップS101)。主体属性収集部13は、端末装置20の属性を示す値を収集し、判定部15へ入力する(ステップS102)。客体属性収集部14は、ソフトウェア200の属性を示す値を収集し、判定部15へ入力する(ステップS103)。判定部15は、端末装置20がソフトウェア200を実行した場合の危険度を示す値を、危険情報記憶部11から入手する(ステップS104)。
判定部15は、入手した危険度を示す値が、判定基準150を満たすか否か、判定する(ステップS105)。危険度を示す値が判定基準150を満たさない場合(ステップS106でNo)、端末装置20は、ソフトウェア200の実行を開始して(ステップS107)、全体の処理は終了する。
危険度を示す値が判定基準150を満たす場合(ステップS106でYes)、移動部16は、ソフトウェア200を、被疑マルウェア310として、仮想マシン31へ移動する(ステップS108)。内部状態収集部17は、仮想マシン31のスナップショットを、証跡情報115として、危険情報記憶部11へ格納する(ステップS109)。仮想マシン31は、被疑マルウェア310の実行を開始し(ステップS110)、全体の処理は終了する。
本実施形態に係るマルウェア対策システム1は、マルウェアを高い精度で検出することができる。その理由は、判定部15が、主体属性収集部13によって収集された端末装置20の属性を示す値、及び、客体属性収集部14によって収集されたソフトウェア200の属性を示す値を、危険情報記憶部11に記憶された各データベースと照合することによって得られた危険度を示す値に基づき、ソフトウェア200がマルウェアであるか否かを判定するからである。
本実施形態に係るマルウェア対策システム1による効果を、以下により具体的に説明する。一般的なマルウェアの検出方式は、客体ソフトウェアの動作を客観的に観測した事象のみに基づいて、マルウェアを検出している。しかしながら、マルウェアであると判定される事象は、必ずしも悪意によって発生しているわけではなく、客体ソフトウェアを配布した提供者、あるいは、客体ソフトウェアを実行する利用者の、悪意のない正当な目的によって、発生している場合もある。すなわち、客体ソフトウェアがマルウェアであるか否かは、より正確には、客体ソフトウェアの動作について客観的に観測される事象だけではなく、主体装置の属性、及び、客体ソフトウェアの属性に依存する様々な要因によって決定する。したがって、一般的なマルウェアの検出方式では、マルウェアを高い精度で検出することは困難である。
これに対して、本実施形態に係るマルウェア対策装置10では、危険情報記憶部11に、主体装置の属性を示す値と、客体ソフトウェアの属性を示す値と、主体装置及び客体ソフトウェアの属性に依存する、客体ソフトウェアが主体装置によって実行されたときの危険度を示す値と、が関連付けされたデータベースが記憶されている。主体属性収集部13は主体装置の属性を示す値を収集し、客体属性収集部14は客体ソフトウェアの属性を示す値を収集する。そして、判定部15は、収集された主体装置及び客体ソフトウェアの属性を示す値を、危険情報記憶部11に記憶されたデータベースと照合することによって得られた危険度を示す値に基づいて、客体ソフトウェアがマルウェアであるか否かを判定する。したがって、本実施形態に係るマルウェア対策装置10は、このような総合的な見地(観点)に基づく情報を用いた判定を行うことによって、マルウェアを高い精度で検出することができる。
また、マルウェアである客体ソフトウェアが、主体装置によって実行された場合、客体ソフトウェアがマルウェアであることが検出されるまで、当該客体ソフトウェアの不正動作によって、主体装置から機密情報が漏えいするなどの問題が発生する虞がある。これに対して、本実施形態に係るマルウェア対策装置10では、判定部15がソフトウェア200をマルウェアと判定した場合、移動部16がソフトウェア200を、端末装置20からライブサンドボックスサーバ装置31における仮想マシン31に移動し、被疑マルウェア310として格納する。移動部16からの指示に従って、端末装置20はソフトウェア200を実行せずに、仮想マシン31が被疑マルウェア310を実行する。すなわち、マルウェア対策装置10は、マルウェアである疑いがあるソフトウェア200を、被疑マルウェア310として、ライブサンドボックスサーバ装置31に事前に隔離する。これにより、本実施形態に係るマルウェア対策装置10は、上述した問題が発生することを防止できる。
また、マルウェアは、不正動作を行うことによって目的を達成したのち、自身を消去することが多い。この場合、マルウェアの動作を再現することによってマルウェアを解析することができなくなる。これに対して、本実施形態に係るマルウェア対策装置10では、仮想マシン31が被疑マルウェア310を実行する前に、内部状態収集部17が、仮想マシン31のスナップショットを採取して、そのスナップショットを証跡情報115として、危険情報記憶部11へ格納する。したがって、マルウェア対策装置10は、マルウェアが自身を消去したのちも、証跡情報115からマルウェアの検体を抽出することによって、マルウェアを解析することができる。
また、本実施形態に係るマルウェア対策装置10は、危険情報収集部12を備えるため、危険情報記憶部11に記憶される各データベースを、効率的に構築することができる。
尚、主体属性収集部13、客体属性収集部14、及び、判定部15は、端末装置20に内蔵されてもよい。この場合、判定部15は、通信ネットワーク40を介して、危険情報記憶部11へアクセスする。また、移動部16、及び、内部状態収集部17は、順に、端末装置20、及び、ライブサンドボックスサーバ装置30に内蔵されてもよい。
また、マルウェア対策システム1は、ライブサンドボックスサーバ装置30の代わりに、実マシン環境で動作するサーバ装置を備えてもよい。この場合、内部状態収集部17は、仮想マシン31のスナップショットの代わりに、実マシン環境で動作するサーバ装置のログ情報、及び、当該サーバ装置が備えるメモリやディスク等に記憶された情報等を収集する。
<第2の実施形態>
図8は、第2の実施形態に係るマルウェア対策装置50の構成を概念的に示すブロック図である。
本実施形態に係るマルウェア対策装置50は、記憶部51、主体属性収集部53、客体属性収集部54、及び、判定部55を備えている。
記憶部51には、危険情報510が記憶されている。危険情報510は、ソフトウェア600を実行する情報処理装置60の属性を示す値と、ソフトウェア600の属性を示す値と、情報処理装置60及びソフトウェア600の属性に依存する、ソフトウェア600が情報処理装置60によって実行されたときの危険度を示す値と、が関連付けされた情報である。
主体属性収集部53は、外部から情報処理装置60の属性を示す値を収集する。
客体属性収集部54は、外部からソフトウェア600の属性を示す値を収集する。
判定部55は、主体属性収集部53及び客体属性収集部54が収集した値を、危険情報510と照合することによって得られた危険度を示す値が基準を満たす場合、ソフトウェア600がマルウェアであると判定する。
本実施形態に係るマルウェア対策装置50は、マルウェアを高い精度で検出することができる。その理由は、判定部55が、主体属性収集部53によって収集された情報処理装置60の属性を示す値、及び、客体属性収集部54によって収集されたソフトウェア600の属性を示す値を、記憶部51に記憶された危険情報510と照合することによって得られた危険度を示す値に基づき、ソフトウェア600がマルウェアであるか否かを判定するからである。
<ハードウェア構成例>
上述した各実施形態において図1、及び、図8に示した各部は、専用のHW(HardWare)(電子回路)によって実現することができる。また、少なくとも、主体属性収集部13及び53、客体属性収集部14及び54、判定部15及び55、移動部16、及び、内部状態収集部17は、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図9を参照して説明する。
図9は、本発明の各実施形態に係るマルウェア対策装置を実行可能な情報処理装置900(コンピュータ)の構成を例示的に説明する図である。即ち、図9は、図1及び図8、に示したマルウェア対策装置を実現可能なコンピュータ(情報処理装置)の構成であって、上述した実施形態における各機能を実現可能なハードウェア環境を表す。
図9に示した情報処理装置900は、構成要素として下記を備えている。
・CPU(Central_Processing_Unit)901、
・ROM(Read_Only_Memory)902、
・RAM(Random_Access_Memory)903、
・ハードディスク(記憶装置)904、
・外部装置との通信インタフェース905、
・バス906(通信線)、
・CD−ROM(Compact_Disc_Read_Only_Memory)等の記録媒体907に格納されたデータを読み書き可能なリーダライタ908、
・入出力インタフェース909。
情報処理装置900は、これらの構成がバス906を介して接続された一般的なコンピュータである。
そして、上述した実施形態を例に説明した本発明は、図9に示した情報処理装置900に対して、次の機能を実現可能なコンピュータプログラムを供給する。その機能とは、その実施形態の説明において参照したブロック構成図(図1及び図8)における、主体属性収集部13及び53、客体属性収集部14及び54、判定部15及び55、移動部16、及び、内部状態収集部17、或いはフローチャート(図7)の機能である。本発明は、その後、そのコンピュータプログラムを、当該ハードウェアのCPU901に読み出して解釈し実行することによって達成される。また、当該装置内に供給されたコンピュータプログラムは、読み書き可能な揮発性のメモリ(RAM903)またはハードディスク904等の不揮発性の記憶デバイスに格納すれば良い。
また、前記の場合において、当該ハードウェア内へのコンピュータプログラムの供給方法は、現在では一般的な手順を採用することができる。その手順としては、例えば、CD−ROM等の各種記録媒体907を介して当該装置内にインストールする方法や、インターネット等の通信回線を介して外部よりダウンロードする方法等がある。そして、このような場合において、本発明は、係るコンピュータプログラムを構成するコード或いは、そのコードが格納された記録媒体907によって構成されると捉えることができる。
以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
この出願は、2015年1月29日に出願された日本出願特願2015−014873を基礎とする優先権を主張し、その開示の全てをここに取り込む。
1 マルウェア対策システム
10 マルウェア対策装置
11 危険情報記憶部
110 主体属性データベース
111 客体属性データベース
112 主観データベース
113 客観データベース
114 情況データベース
115 証跡情報
12 危険情報収集部
13 主体属性収集部
14 客体属性収集部
15 判定部
150 判定基準
16 移動部
17 内部状態収集部
20 端末装置
21 コンソール表示部
200 ソフトウェア
30 ライブサンドボックスサーバ装置
31 仮想マシン
310 被疑マルウェア
40 通信ネットワーク
50 マルウェア対策装置
51 記憶部
510 危険情報
53 主体属性収集部
54 客体属性収集部
55 判定部
900 情報処理装置
901 CPU
902 ROM
903 RAM
904 ハードディスク(記憶装置)
905 通信インタフェース
906 バス
907 記録媒体
908 リーダライタ
909 入出力インタフェース

Claims (21)

  1. ソフトウェアを実行する第一の情報処理装置の属性を示す値と、前記ソフトウェアの属性を示す値と、前記第一の情報処理装置及び前記ソフトウェアの属性に依存する、前記ソフトウェアが前記第一の情報処理装置によって実行されたときの危険度を示す値と、が関連付けされた危険情報が記憶された記憶手段と、
    外部から前記第一の情報処理装置の属性を示す値を収集する主体属性収集手段と、
    外部から前記ソフトウェアの属性を示す値を収集する客体属性収集手段と、
    前記主体属性収集手段及び前記客体属性収集手段が収集した値を、前記危険情報と照合することによって得られた前記危険度を示す値が基準を満たす場合、前記ソフトウェアがマルウェアであると判定する判定手段と、
    を備えるマルウェア対策装置。
  2. 前記判定手段が、前記ソフトウェアがマルウェアであると判定した場合、前記ソフトウェアを第二の情報処理装置に移動したのち、前記第二の情報処理装置に前記ソフトウェアを実行させる移動手段
    をさらに備える、請求項1に記載のマルウェア対策装置。
  3. 前記移動手段が前記第二の情報処理装置に前記ソフトウェアを移動したのち、前記第二の情報処理装置に前記ソフトウェアを実行させる前に、前記第二の情報処理装置から、内部状態を表す情報を収集する内部状態収集手段
    をさらに備える、請求項2に記載のマルウェア対策装置。
  4. 前記移動手段は、前記ソフトウェアを、仮想マシンである前記第二の情報処理装置に移動し、
    前記内部状態収集手段は、前記第二の情報処理装置に前記ソフトウェアを実行させる前に、前記第二の情報処理装置のスナップショットを収集する、
    請求項3に記載のマルウェア対策装置。
  5. 前記内部状態収集手段は、前記第二の情報処理装置によって実行されている前記ソフトウェアの動作を表す情報を収集し、収集した情報を前記危険情報として、前記記憶手段へ格納する、
    請求項3又は4に記載のマルウェア対策装置。
  6. 前記内部状態収集手段は、前記第二の情報処理装置によって実行されている前記ソフトウェアの動作を表す情報として、通信先である装置のIPアドレス、通信頻度、システムコールの引数、及び、前記システムコールの頻度の少なくともいずれかを収集する、
    請求項5に記載のマルウェア対策装置。
  7. 通信可能に接続された通信ネットワークを介してアクセス可能な外部装置から、前記危険情報を収集し、収集した前記危険情報を前記記憶手段に格納する危険情報収集手段、
    をさらに備える、請求項1乃至6のいずれかに記載のマルウェア対策装置。
  8. 前記主体属性収集手段は、前記第一の情報処理装置から、前記第一の情報処理装置に付与されたIPアドレスを収集する、
    請求項1乃至7のいずれかに記載のマルウェア対策装置。
  9. 前記客体属性収集手段は、前記ソフトウェアのバイナリコードを、ハッシュ関数に入力することによって得られるハッシュ値を収集する、
    請求項1乃至8のいずれかに記載のマルウェア対策装置。
  10. 前記記憶手段は、前記第一の情報処理装置に付与されたIPアドレスと、前記第一の情報処理装置を所有あるいは設置する組織を識別可能な識別子と、が関連付けされた前記危険情報を記憶する、
    請求項8乃至9のいずれかに記載のマルウェア対策装置。
  11. 前記記憶手段は、前記ハッシュ値と、前記ソフトウェアを開発した開発元に関する情報と、が関連付けされた前記危険情報を記憶する、
    請求項9乃至10のいずれかに記載のマルウェア対策装置。
  12. 前記記憶手段は、前記第一の情報処理装置に適用されるセキュリティポリシーの内容と、前記第一の情報処理装置が前記ソフトウェアを実行するときに前記セキュリティポリシーに準拠しない動作を行った場合の前記危険度を示す値と、が関連付けされた前記危険情報を記憶する、
    請求項1乃至11のいずれかに記載のマルウェア対策装置。
  13. 前記記憶手段は、前記第一の情報処理装置が前記ソフトウェアを実行する場合に発生する事象の内容を示す情報と、前記危険度を示す値と、が関連付けされた前記危険情報を記憶する、
    請求項1乃至12のいずれかに記載のマルウェア対策装置。
  14. 前記記憶手段は、前記第一の情報処理装置を所有あるいは設置する組織を識別可能な識別子と、前記ソフトウェアを開発した前記開発元に関する情報と、前記危険度を示す値と、が関連付けされた前記危険情報を記憶する、
    請求項10乃至13のいずれかに記載のマルウェア対策装置。
  15. 請求項2乃至14のいずれかに記載のマルウェア対策装置と、
    前記第一及び第二の情報処理装置と、
    を備えるマルウェア対策システム。
  16. 記憶手段が、ソフトウェアを実行する第一の情報処理装置の属性を示す値と、前記ソフトウェアの属性を示す値と、前記第一の情報処理装置及び前記ソフトウェアの属性に依存する、前記ソフトウェアが前記第一の情報処理装置によって実行されたときの危険度を示す値と、が関連付けされた危険情報を記憶する場合に、
    第三の情報処理装置によって、
    外部から前記第一の情報処理装置の属性を示す値を収集し、
    外部から前記ソフトウェアの属性を示す値を収集し、
    収集した、前記第一の情報処理装置の属性及び前記ソフトウェアの属性を示す値を、前記危険情報と照合することによって得られた前記危険度を示す値が基準を満たす場合、前記ソフトウェアがマルウェアであると判定する、
    マルウェア対策方法。
  17. 前記ソフトウェアがマルウェアであると判定した場合、前記ソフトウェアを第二の情報処理装置に移動したのち、前記第二の情報処理装置に前記ソフトウェアを実行させる、
    請求項16に記載のマルウェア対策方法。
  18. 前記第二の情報処理装置に前記ソフトウェアを移動したのち、前記第二の情報処理装置に前記ソフトウェアを実行させる前に、前記第二の情報処理装置から、内部状態を表す情報を収集する、
    請求項17に記載のマルウェア対策方法。
  19. ソフトウェアを実行する第一の情報処理装置の属性を示す値と、前記ソフトウェアの属性を示す値と、前記第一の情報処理装置及び前記ソフトウェアの属性に依存する、前記ソフトウェアが前記第一の情報処理装置によって実行されたときの危険度を示す値と、が関連付けされた危険情報を記憶している記憶手段にアクセス可能なコンピュータに、
    外部から前記第一の情報処理装置の属性を示す値を収集する主体属性収集処理と、
    外部から前記ソフトウェアの属性を示す値を収集する客体属性収集処理と、
    前記主体属性収集処理及び前記客体属性収集処理によって収集された値を、前記危険情報と照合することによって得られた前記危険度を示す値が基準を満たす場合、前記ソフトウェアがマルウェアであると判定する判定処理と、
    を実行させる、マルウェア対策プログラムが格納された記録媒体。
  20. 前記判定処理が、前記ソフトウェアがマルウェアであると判定した場合、前記ソフトウェアを第二の情報処理装置に移動したのち、前記第二の情報処理装置に前記ソフトウェアを実行させる移動処理
    をコンピュータに実行させる、請求項19に記載のマルウェア対策プログラムが格納された記録媒体。
  21. 前記移動処理が前記第二の情報処理装置に前記ソフトウェアを移動したのち、前記第二の情報処理装置に前記ソフトウェアを実行させる前に、前記第二の情報処理装置から、内部状態を表す情報を収集する内部状態収集処理
    をコンピュータに実行させる、請求項20に記載のマルウェア対策プログラムが格納された記録媒体。
JP2016571850A 2015-01-29 2016-01-21 マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム Active JP6717206B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015014873 2015-01-29
JP2015014873 2015-01-29
PCT/JP2016/000293 WO2016121348A1 (ja) 2015-01-29 2016-01-21 マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体

Publications (2)

Publication Number Publication Date
JPWO2016121348A1 true JPWO2016121348A1 (ja) 2017-11-24
JP6717206B2 JP6717206B2 (ja) 2020-07-01

Family

ID=56542972

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016571850A Active JP6717206B2 (ja) 2015-01-29 2016-01-21 マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム

Country Status (3)

Country Link
US (1) US10482240B2 (ja)
JP (1) JP6717206B2 (ja)
WO (1) WO2016121348A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021117624A (ja) * 2020-01-24 2021-08-10 三菱電機株式会社 車載制御装置

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6687844B2 (ja) * 2016-04-13 2020-04-28 富士通株式会社 マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10628585B2 (en) 2017-01-23 2020-04-21 Microsoft Technology Licensing, Llc Ransomware resilient databases
US10803177B2 (en) * 2017-07-19 2020-10-13 International Business Machines Corporation Compliance-aware runtime generation based on application patterns and risk assessment
JP7102780B2 (ja) * 2018-02-28 2022-07-20 沖電気工業株式会社 不正通信対処システム及び方法
US20220237026A1 (en) * 2021-01-28 2022-07-28 Microsoft Technology Licensing, Llc Volatile memory acquisition

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012221216A (ja) * 2011-04-08 2012-11-12 Kddi Corp アプリケーション評価装置およびプログラム
JP2013514594A (ja) * 2009-12-15 2013-04-25 マカフィー, インコーポレイテッド 挙動サンドボックスのためのシステム及び方法
US8627463B1 (en) * 2010-09-13 2014-01-07 Symantec Corporation Systems and methods for using reputation information to evaluate the trustworthiness of files obtained via torrent transactions
JP2014063490A (ja) * 2012-09-19 2014-04-10 East Security Co Ltd 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008043109A2 (en) * 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of reporting and visualizing malware on mobile networks
US8959624B2 (en) * 2007-10-31 2015-02-17 Bank Of America Corporation Executable download tracking system
US8418251B1 (en) * 2009-04-27 2013-04-09 Symantec Corporation Detecting malware using cost characteristics
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8819772B2 (en) * 2012-06-25 2014-08-26 Appthority, Inc. In-line filtering of insecure or unwanted mobile device software components or communications
US9430640B2 (en) * 2012-09-28 2016-08-30 Intel Corporation Cloud-assisted method and service for application security verification
US9305162B2 (en) * 2013-07-31 2016-04-05 Good Technology Corporation Centralized selective application approval for mobile devices
US20150101050A1 (en) * 2013-10-07 2015-04-09 Bank Of America Corporation Detecting and measuring malware threats
US10432658B2 (en) * 2014-01-17 2019-10-01 Watchguard Technologies, Inc. Systems and methods for identifying and performing an action in response to identified malicious network traffic
US9462011B2 (en) * 2014-05-30 2016-10-04 Ca, Inc. Determining trustworthiness of API requests based on source computer applications' responses to attack messages
KR101609124B1 (ko) * 2014-07-07 2016-04-20 주식회사 윈스 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치
US9584536B2 (en) * 2014-12-12 2017-02-28 Fortinet, Inc. Presentation of threat history associated with network activity

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013514594A (ja) * 2009-12-15 2013-04-25 マカフィー, インコーポレイテッド 挙動サンドボックスのためのシステム及び方法
US8627463B1 (en) * 2010-09-13 2014-01-07 Symantec Corporation Systems and methods for using reputation information to evaluate the trustworthiness of files obtained via torrent transactions
JP2012221216A (ja) * 2011-04-08 2012-11-12 Kddi Corp アプリケーション評価装置およびプログラム
JP2014063490A (ja) * 2012-09-19 2014-04-10 East Security Co Ltd 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021117624A (ja) * 2020-01-24 2021-08-10 三菱電機株式会社 車載制御装置

Also Published As

Publication number Publication date
US10482240B2 (en) 2019-11-19
WO2016121348A1 (ja) 2016-08-04
US20180004939A1 (en) 2018-01-04
JP6717206B2 (ja) 2020-07-01

Similar Documents

Publication Publication Date Title
JP6717206B2 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
US10193929B2 (en) Methods and systems for improving analytics in distributed networks
US9300682B2 (en) Composite analysis of executable content across enterprise network
Malik et al. CREDROID: Android malware detection by network traffic analysis
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
RU2726032C2 (ru) Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga)
JP6711000B2 (ja) 情報処理装置、ウィルス検出方法及びプログラム
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
JP6039826B2 (ja) 不正アクセスの検知方法および検知システム
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN111460445A (zh) 样本程序恶意程度自动识别方法及装置
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
US11636208B2 (en) Generating models for performing inline malware detection
WO2019026310A1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US20210021611A1 (en) Inline malware detection
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
US11025656B2 (en) Automatic categorization of IDPS signatures from multiple different IDPS systems
CN111183620A (zh) 入侵调查
KR101847277B1 (ko) 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템
KR20150133370A (ko) 웹서비스 접속제어 시스템 및 방법
KR101712462B1 (ko) Ip 위험군 탐지 시스템
JP5386015B1 (ja) バグ検出装置およびバグ検出方法
WO2021015941A1 (en) Inline malware detection
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
US20230036599A1 (en) System context database management

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170711

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200204

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200403

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200512

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200525

R150 Certificate of patent or registration of utility model

Ref document number: 6717206

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150